Un ciberataque puede presentarse de manera inocente, bajo la forma de un correo del director, los proveedores o el banco. Pero los enlaces maliciosos que contienen estos mensajes provocan varias pérdidas de datos, el encriptado de algunos sistemas e importantes daños en la infraestructura cuando se abren paso hasta el sistema de control.
Para las grandes empresas, los ciberataques suponen una molesta distracción que cuesta resolver. Pero para las pymes, el impacto puede ser muchísimo más grave. «Cualquier error de seguridad puede ser fatal, provocando que algo que debería ser poco importante se convierta en un serio problema», explica Stephen Ridley, experto de la aseguradora Hiscox.
Estas incidencias son cada vez más frecuentes. Según un informe publicado recientemente por el Gobierno de Reino Unido, una de cada tres pequeñas compañías ha sufrido un ciberataque durante el último año. Con las de tamaño medio, la proporción asciende a la mitad. Mientras que las grandes empresas contratan servicios de ciberseguridad, las pymes son más reticentes.
Mark Camillo, director de cibernética en la aseguradora AIG, estima que sólo el 2% de estos negocios tiene algún tipo de protección. «Debido a su tamaño, creen que no van a ser objetivo de este tipo de ataques, por lo que no están preparados», afirma.
Las aseguradoras tienen una importante oportunidad de negocio si ayudan a los clientes con las consecuencias de un ciberataque en lugar de limitarse a enviarles un cheque.
Los servicios que ofrecen pueden cubrir la interrupción del negocio, el daño que los hackers causan a los sistemas tecnológicos, la extorsión (el pago de una cantidad para que cese el ataque) y los costes de las investigaciones. «La parte más importante de la cobertura es la rápida respuesta y el acceso directo a los proveedores de servicios«, destaca Ridley.
Las ofertas incluyen un análisis completo que permite saber qué ha sucedido, las implicaciones legales y cómo gestionar la comunicación con los clientes. Algunas pólizas sirven para que los negocios estén protegidos antes de sufrir un ataque. «Pueden incluir dispositivos que se actualizan cada diez minutos o formación para que las empresas entiendan mejor los riesgos«, añade Camillo.
El coste inicial oscila entre 50 libras (63 euros) y 25.000 libras (31.830 euros), aunque luego puede aumentar en función de la cobertura contratada. El precio también varía en función del sector.
«Un centro clínico con acceso a datos más delicados, como el historial médico de un paciente, pagará más que una compañía que no dispone de ellos, como un fabricante», aclara Camillo.
Sin embargo, muchas empresas no contratan una póliza de ciberseguridad. En parte, esto se debe a que ya cuentan con estos servicios en sus seguros habituales.
En cualquier caso, los analistas creen que los servicios de ciberseguridad serán cada vez más demandados. Jaime Bouloux, experto de Ryan Specialty Group, asegura que «muchas compañías todavía no conocen estos productos y la utilidad que pueden tener».
Pero «se está extendiendo la idea de que estas empresas pueden convertirse en un objetivo de los ataques debido a la falta de prevención, de gestión de la seguridad, un bajo presupuesto para la tecnología y el uso de sistemas operativos antiguos», concluye.
Obligaciones legales
En Estados Unidos, la ciberseguridad viene impuesta por la ley, que obliga a las empresas a avisar tanto a las autoridades como a los clientes afectados cuando se produce un robo de información.
Las compañías de seguros suelen cubrir el coste -que con frecuencia es elevado- de realizar estos informes. En 2018 entrará en vigor una regulación europea de protección de datos que establecerá obligaciones similares para las empresas que trabajen en el el ámbito de la Unión Europea.
Se espera que esta directiva establezca unos estándares más elevados que los de la legislación estadounidense, donde los derechos de los individuos no están bien protegidos. Además, las multas seguramente serán más elevadas que las que existen actualmente.